Forum Turris
Fórum Turris Nápověda

Milí majitelé routerů Turris,

toto fórum bylo 9. 12. 2016 zmrazeno a nahrazeno naším novým Turris fórem. Ještě chvíli bude dostupné k prohlížení, ale již zde není možné přispívat. Více informací naleznete v oznámení o uzavření fóra.

Dear Turris routers users,

this forum has been frozen on Dec 9th, 2016 and replaced by our new Turris forum. It will be read-only accessible for some time after. For more information, read the announcement about closing the forum.

Nahoru Téma Majitelé routerů / Technická podpora / SSH Honeypot závady
- - Od JFila (>>) Dne 2015-06-17 13:58
Našel jsem první, webové rozhraní nedokáže zjistit národnost IP adresy 131.108.118.78. Dle whois.smartweb.cz je to IP adresa brazilská.
Nadřazený - - Od Jan Čermák (>>) Dne 2015-06-17 14:08
Výsledky GeoIP vyhledávání a adresa ve whoisu jsou dvě často nesouvisející věci. Tady ale bude spíš ten problém, že ve webovém rozhraní se zobrazuje informace z nějaké starší offline GeoIP databáze. A protože se i s rozsahy IP adres obchoduje, i geolokační adresy se v průběhu času mění. Všechno to pak je tedy potřeba brát s rezervou.
Nadřazený - - Od JFila (>>) Dne 2015-06-17 18:09
Děkuji za vysvětlení. Měl bych ještě další dotaz a jeden námět. Proč telnet honeypot sbírá jen hesla a SSH honeypot i příkazy? Vždyť z pohledu vnitřní logiky aplikace je to jedno, zda požadavky přicházejí z rozhraní Telnetu nebo SSH, nebo ne?
Ještě k honeypotu, bylo by možné si uživatelsky předdefinovat odpovědi na příkazy? Viz dotazy ostatních turristů.
Nadřazený - Od NONES (>>>) Dne 2015-06-17 21:29
Jestli to nebude tím, že o zpracování každého z TCP portů (tedy Telnetu a SSH) se stará jiný program.
Telnet je realizován přímo na Turrisu pluginem do uCollectu, kdežto SSH provoz je na základě přidaného FW pravidla přesměrováván na virtuální server v CZ.NICu, na němž je fakticky realizován honeypot.
Členy řešitelského týmu bylo řečeno, že z důvodu bezpečnosti nás koncových uživatelů routeru není žádný honeypot realizován přímo v routeru.
Nadřazený - Od Michal Vaner (>>) Dne 2015-06-18 08:58
Dobrý den

Část rozdílu je opravdu kvůli provedení. A druhý důvod je ten, že každý z nich sbírá jiný druh informací. Pokud útočníka pustím dovnitř na první pokus, tak můžu sbírat jeho příkazy. Pokud mu budu říkat „špatné heslo“, tak můžu zjišťovat, jaká všechna hesla zkusí, kdy to vzdá a podobně. A kromě toho, u plnohodnotného honeypotu nám přijde, že bychom měli jít formou opt-in (tedy, uživatel to zapíná), u toho odlehčeného jsme si dovolili udělat to opt-out (zapnuté s možností vypnout).

Snad neprozradím nic tajného, když řeknu, že experimentujeme i s plnohodnotným telnetím honeypotem. Tam ale, na rozdíl od SSH, neexistuje již hotové vyhovující řešení, proto je to zatím trochu ve hvězdách.
Nahoru Téma Majitelé routerů / Technická podpora / SSH Honeypot závady

Powered by mwForum 2.29.3 © 1999-2013 Markus Wichitill